Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Путин усомнился, что политологию можно отнести к наукам Политика, 20:18
Знакомьтесь, «Альфа»: почему это поколение психически самое устойчивое Совместный проект, 20:09
Путин предупредил, что договориться с Россией будет труднее Политика, 19:59
Журналиста Илью Красильщика объявили в розыск по делу о фейках про армию Политика, 19:55
Прокурор запросил пять лет для экс-директора «Открытой России» Пивоварова Политика, 19:52
Путин ответил желающим победить Россию в бою фразой «пусть попробуют» Политика, 19:50
Уроженка России Рыбакина впервые в карьере вышла в финал Уимблдона Спорт, 19:45
Девальвация штрафа: зачем актуализировать наказания для водителей Партнерский проект, 19:42
РБК Comfort
Получайте рассылку с новостями, которые влияют на качество вашей жизни.
Подписаться за 99 ₽ в месяц
Встреча Путина с главами думских фракций. Прямая трансляция Политика, 19:39
Мосбиржа заявила об изучении допуска к торгам инструментов на основе ЦФА Инвестиции, 19:39
Миллиардер Мельниченко стал гражданином ОАЭ Бизнес, 19:32
В РФС заявили о готовности разработать собственную программу VAR Спорт, 19:30
Глава МИД Индонезии сообщила об отказе министров G7 ужинать с Лавровым Политика, 19:28
В США ракета-носитель Minotaur II взорвалась при испытаниях Технологии и медиа, 19:24
Технологии и медиа ,  
0 

Как на безопасность сайтов повлияет отзыв SSL-сертификатов у банков

Будут ли работать российские сайты после отзыва у банков иностранных SSL-сертификатов
У попавших под санкции банков и Центробанка отозвали SSL-сертификаты, обеспечивающие безопасность сайта и сохранность персональных данных. Они уже получили новые сертификаты и угрозы данным клиентов нет
Сбербанк RU000A0ZYBS1
ВТБ VTBR ₽0,01874 +0,08% Купить
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

После внесения в санкционный список ЦБ, ВТБ, Совкомбанка и Промсвязьбанка сайты этих организаций на некоторое время могли снизить уровень защиты специальным сертификатом, хотя банки утверждали, что санкции не повлияют на уровень безопасности.

Первым на это во вторник, 1 марта, обратил внимание «Деловой Петербург». По его информации, хостинг-провайдер DigiCert (США) отозвал у Центробанка сертификат TLS — один из версий протокола SSL, который обеспечивает подлинность сайта и защиту персональных данных на нем. В тот же день сайт ВТБ не позволил провести транзакцию из-за просроченного SSL-сертификата, убедился корреспондент РБК. На сайте банка отображалась ошибка cert_revoked — что означает, что сертификат отсутствует (или неправильно установлен, или просрочен, или отозван), пояснил РБК один из участников ИТ-рынка. Согласно информации из Telegram-каналов, до недавнего времени у ВТБ был SSL-сертификат от Thawte Consulting (ЮАР).

Что такое SSL-сертификат

SSL-сертификат отображается в левом углу адресной строки браузера в виде закрытого замка. Так пользователь может определить, является ли сайт надежным или фишинговым. Во втором случае персональные и платежные данные, оставленные на таком сайты, попадут злоумышленникам, как и сам платеж. SSL-сертификаты выпускают удостоверяющие центры — специальные организации, они также поддерживают их работу. Как пояснил руководитель направления ГОСТ VPN компании «Ростелеком-Солар» Александр Веселов, существуют три основные цели использования таких сертификатов: шифрование данных между пользователем и сайтом; сертификат выступает в качестве своеобразного «удостоверения личности» для организации и защищает пользователя от фишинговых сайтов; улучшает ранжирование в поиске — сайты, у которых сертификат отсутствует, опускаются ниже в выдаче.

Какие риски существуют

В среду, 2 марта, сайт Центробанка получил новый сертификат, подтвержденный бельгийской компанией GlobalSign. Он действителен до 2 апреля 2023 года. ВТБ еще 1 марта получил новый сертификат, и он одобрен удостоверяющим центром.

Могут ли санкции отключить смартфоны россиян
Технологии и медиа
Фото:Евгений Разумный / Ведомости / ТАСС

В Центробанке и ВТБ не ответили на запрос РБК.

Pro x The Economist
Фото: Hannelore Foerster / Getty Images Сможет ли еврозона сохранить единство перед лицом кризиса — The Economist
Pro
Как снять санкции с человека или компании. Пошаговая инструкция
Pro
Фото: Shutterstock Правда ли, что под кондиционером можно простыть
Pro
Эффект теломер. Революционный подход к более молодой, здоровой и долгой жизни
Pro
Короткая тренировка для офиса. Расслабляем шею и грудной отдел
Pro
Фото: Astrid Stawiarz / Getty Images for LinkedIn «Я как ниндзя в уличном бою»: Рэй Далио — о влиянии медитации
Pro
Фото: Kevin Frayer / Getty Images Как технологический сектор Китая потерял $2 трлн капитализации
Pro
Фото: Shutterstock Как новому руководителю стать своим: четыре правила и десять табу

Представитель технической поддержки DigiCert на вопрос, действительно ли они отозвали сертификат у ЦБ и намерены ли поступать так же с другими российскими организациями, сообщил, что компания «действует в соответствии с законодательством своей страны и внимательно отслеживает международную обстановку, а именно — все санкции, которые вводятся против России со стороны США и других стран». Аналогичный ответ предоставил представитель Thawte.

24 февраля США, ЕС и ряд других стран объявили о санкциях в отношении ЦБ, ряда банков и физлиц из России в ответ на проведение спецоперации на Украине. ВТБ, банк «Открытие», Совкомбанк, Промсвязьбанк и Новикомбанк попали под самые жесткие санкции из-за аффилированности с госструктурами России: их активы и счета в долларах США заблокированы, карты перестанут работать за границей, они не смогут поддерживать сервисы Apple Pay, Google Pay и Samsung Pay.

Среди перечисленных банков 1 марта новый сертификат появился также у Совкомбанка и Промсвязьбанка, следует из технической информации на их сайтах.

ФСБ предложила шифровать данные в Рунете «Кузнечиком»
Технологии и медиа
Фото:Victor J. Blue / Bloomberg

РБК направил запрос в банк «Открытие», Совкомбанк, Новикомбанк и Промсвязьбанк.

Согласно официальной статистике Технического центра Интернет (ТЦИ), на 2 марта этого года в домене .RU около 80% сайтов имеют сертификат от центра сертификации LetsEncrypt (США), в домене .РФ — 82%, а в домене .SU — 72%. Это бесплатный сертификат, его шифрование обновляется автоматически каждые три месяца.

По данным эксперта в области информационной безопасности Алексея Лукацкого, сейчас в сообществе LetsEncrypt, которое занимается технической поддержкой пользователей, идет обсуждение статуса сертификата сайтов в зоне gov.ru — российских государственных сайтов, который администрирует Спецсвязь Федеральной службы охраны.

РБК направил запрос в LetsEncrypt.

Какие последствия будут у отзывов

По словам Алексея Лукацкого, есть несколько вариантов для российской компаний или ведомств, у которых был отозван SSL-сертификат:

  • пойти к другому удостоверяющему центру;
  • сделать свой «самописный» сертификат, используя программное обеспечение удостоверяющего центра;
  • попробовать получить сертификат у российских удостоверяющих центров.

Он привел в пример удостоверяющие центры при Центробанке и Казначействе. В то же время Лукацкий предположил, что коммерческие компании могут воспользоваться услугами ФНС, так как взаимодействие с налоговой подразумевает получение у последней сертификата, однако «до этого такая практика не применялась». Также эксперт напомнил, что Минцифры работает над созданием российского головного удостоверяющего центра, но его пока не успели запустить, для этого необходимо доработать законодательство. «Есть еще вариант запустить в России свой национальный удостоверяющий центр, который будет выдавать SSL-сертификаты российским компаниям и ведомствам. Однако не уверен, что все коммерческие компании на это согласятся, так как это предоставит возможность полностью контролировать трафик, перехватывать персональные данные и т.д.», — рассуждает Лукацкий.

Путеводитель по санкциям и ограничениям против России. Главное
Бизнес
Фото:Андрей Рудаков / Bloomberg

Александр Веселов напомнил, что это уже не первый случай отзыва SSL-сертификатов у российских сайтов. Например, в 2018 году американская компания GeoTrust отозвала сертификат у сайта Торгово-промышленной палаты России. Он также отметил, что ряд сайтов российских госорганов работает вообще без них, «это объясняется тем, что такие сайты выполняют преимущественно информационную функцию: там нет форм авторизации и личного кабинета».

Веселов предполагает, что единственный выход из ситуации с отзывами сертификатов — это импортозамещение, то есть создание собственной инфраструктуры на оборудовании, поддерживающем российские криптоалгоритмы по ГОСТу. Однако он признает многогранность этой проблемы. «Со стороны владельцев веб-сайтов реализация российской криптографии выглядит не самой простой задачей. Web-серверы не поддерживают ГОСТ «из коробки», требуются приобретение, настройка и эксплуатация дополнительного оборудования», — рассуждает он.

При этом браузер может не одобрить SSL-сертификат, тогда у пользователей будет на сайте отображаться предупреждение, что сайт не безопасен, указывает Лукацкий. «Тогда отличить фишинговый сайт от сайта с непринятым сертификатом будет сложнее», — предупредил эксперт.

ВТБ предупредил об отключении мобильного банка на iOS в ближайшее время
Финансы
Фото:Андрей Любимов / РБК

Эксперт по безопасности «Лаборатории Касперского» Денис Паринов говорит, что при посещении сайта с отозванным сертификатом все браузеры реагируют по-разному. «Как правило, показывают предупреждение о недоверенном сертификате, но при этом позволяют открыть сайт. При посещении сайта, использующего отозванный сертификат, могут возникнуть неудобства, ошибки при работе, например, в личном кабинете. Чтобы это исправить, администраторы сайтов могут выписать новый сертификат в авторизованном центре сертификации», — комментирует он. По его мнению, сейчас нет признаков массовых отзывов, пока «речь идет о единичных случаях отзывов сертификатов, выписанных Thawte».

По мнению ведущего специалиста отдела аудита Infosecurity в Softline Анатолия Сазонова, отзыв сертификатов может стать массовой историей в условиях, когда большая часть удостоверяющих центров находится за рубежом, а «отечественный глобальный удостоверяющий центр находится в процессе создания». «Но даже при условии запуска российского центра его сертификат тоже может быть не принят, как это было с китайским центром China Internet Network Information Center», — выражает опасения он.

Впрочем, менеджер по продуктам хостинг-провайдера REG.RU Антон Бобков заверил, что они находятся на связи со всеми ключевыми удостоверяющими центрами и на данный момент не видят предпосылок к прекращению сотрудничества. В то же время он оговорился, что прогнозировать отказ всех иностранных удостоверяющих центров сложно.

Авторы
Теги
Магазин исследований Аналитика по теме "Интернет"